Şirketimiz
Garanti KVK ile tanışın
Güvenli KVK Danışmanlığı
Kişisel verilerinizi koruyun
%100 Memnuniyet
Mutlu danışanlar
GİZLİLİK VE KULLANIM KOŞULLARI

Gölge Yapay Zeka (Shadow AI): Çalışanların İzinsiz Kullandığı AI Araçları Şirketinizi Nasıl Riske Atıyor?

no comments

Şirketinizde Şu An Neler Oluyor?

Toplantı öncesi bir satış müdürü, müşteri teklifini hızlıca düzenlemek için ChatGPT’ye yapıştırıyor. İK uzmanı, işe alım sürecindeki adayların özgeçmişlerini bir AI aracıyla özetliyor. Muhasebe departmanından biri, şirketin finansal verilerini içeren bir e-postayı Gemini’ye özetletiyor.

Bunların hepsi iyi niyetle yapılıyor. Hepsi de kurumsal onay alınmadan.

İşte bu tablo, siber güvenlik dünyasının uzun süredir tartıştığı “Shadow IT” (Gölge BT) kavramının en güncel ve en riskli versiyonu: Gölge Yapay Zeka (Shadow AI).

Gölge AI Nedir?

Gölge AI; çalışanların IT veya yönetim onayı olmadan, kurumsal politikalar çerçevesi dışında üretken yapay zeka araçlarını (ChatGPT, Gemini, Claude, Copilot vb.) iş süreçlerinde kullanmasıdır.

Bu kullanım çoğu zaman kötü niyetten değil, verimliliği artırma isteğinden kaynaklanır. Ancak iyi niyet, hukuki sorumluluğu ortadan kaldırmaz.

Kişisel Verileri Koruma Kurumu’nun üretken yapay zeka konusundaki rehber çalışmaları ve güncel kararları da dahil olmak üzere KVKK mevzuatı çerçevesinde değerlendirildiğinde, bu tablo ciddi yükümlülükler doğurmaktadır.

Hangi Veriler Risk Altında?

Çalışanların AI araçlarına aktardığı içerikler incelendiğinde, kişisel veri niteliği taşıyan bilgilerin ne kadar sık kullanıldığı dikkat çekicidir:

İnsan Kaynakları Süreçleri:

  • Aday özgeçmişleri (ad, soyad, iletişim bilgisi, fotoğraf)
  • Performans değerlendirme notları
  • Maaş bilgileri içeren belgeler
  • Disiplin veya şikayet süreçlerine ait yazışmalar

Satış ve Müşteri İlişkileri:

  • Müşteri isimleri, iletişim bilgileri ve sipariş geçmişleri
  • CRM sisteminden kopyalanan müşteri notları
  • Sözleşmeler ve teklif belgeleri

Hukuk ve Finans:

  • Kişisel verilerin yer aldığı sözleşmeler
  • Vergi numarası veya kimlik bilgisi içeren tablolar

Tüm bu veriler, KVKK’nın 3. maddesi kapsamında kişisel veri niteliği taşımaktadır. Ve bu verilerin üçüncü taraf bir AI platformuna aktarılması, yurt dışına veri aktarımı hükümlerini tetikleyebilir.

KVKK Açısından Temel Riskler

1. Açık Rıza ve Aydınlatma Yükümlülüğü İhlali

KVKK’nın 10. maddesi, kişisel verilerin işlenmeden önce ilgili kişilerin aydınlatılmasını zorunlu kılmaktadır. Bir çalışanın müşteri verisini üçüncü taraf bir AI platformuna aktarması; o müşterinin bu işleme ilişkin hiçbir bilgisi ve rızası olmaksızın gerçekleşmektedir.

Veri sorumlusu sıfatıyla şirket, bu işlemden habersiz olsa dahi hukuki sorumluluğu taşımaya devam eder.

2. Veri Güvenliği Yükümlülüğünün İhlali (Madde 12)

KVKK’nın 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek için uygun güvenlik tedbirlerini almak yükümlülüğü getirmektedir. Çalışanların denetimsiz AI araçlarına veri aktarması, bu yükümlülüğü doğrudan zedelemektedir.

3. Yurt Dışına Veri Aktarımı Riski

ChatGPT (OpenAI), Gemini (Google) gibi araçların sunucuları büyük ölçüde Türkiye dışında yer almaktadır. KVKK’nın 9. maddesi, yurt dışına veri aktarımı için ya ilgili kişinin açık rızasının alınmasını ya da Kurul’un yeterli korumaya sahip olduğuna karar verdiği ülkelere aktarım yapılmasını şart koşmaktadır. Bu koşullar sağlanmadan gerçekleştirilen aktarımlar ciddi idari yaptırım riski taşımaktadır.

4. Veri İşleme Envanteri ve VERBİS Tutarsızlığı

VERBİS’e kayıtlı şirketler, kişisel veri işleme faaliyetlerini ve kullandıkları sistemleri beyan etmek zorundadır. Kayıt dışı AI araçları bu envanterin dışında kaldığından, Kurul denetimlerinde tutarsızlık ve açıklama güçlüğü yaratır.

IT Yöneticileri İçin: Teknik Önlemler

Gölge AI riskini minimize etmek için IT ekiplerinin alabileceği temel teknik önlemler şunlardır:

Kısa Vadede:

  • Kurumsal ağ ve cihazlardan belirli AI platformlarına erişimin kısıtlanması veya loglanması
  • DLP (Data Loss Prevention) politikalarının AI trafik örüntülerini kapsayacak şekilde güncellenmesi
  • Çalışanlara yönelik AI kullanım politikasının oluşturulması ve yazılı olarak tebliğ edilmesi

Orta Vadede:

  • Kurumsal onaylı, veri güvenliği sözleşmesi (DPA) imzalanmış AI araçlarının sağlanması
  • Hassas veri kategorileri için AI kullanımını kısıtlayan rol bazlı erişim politikalarının geliştirilmesi
  • Olay müdahale planlarının AI kaynaklı veri ihlallerini kapsayacak şekilde güncellenmesi

İK Yöneticileri İçin: İnsan Faktörü ve Farkındalık

Teknik önlemler tek başına yeterli değildir. Çalışanların büyük çoğunluğu, AI platformuna veri yapıştırırken hukuki bir risk aldıklarının farkında değildir. Bu nedenle İK’nın rolü kritiktir:

  • İşe alım sürecinde: Yeni çalışanlara KVKK farkındalık eğitimi verilmesi ve AI politikasının oryantasyona dahil edilmesi
  • Periyodik eğitimler: “AI araçlarını doğru kullanmak” temasıyla yılda en az bir kez güncellenen eğitim programları
  • Politika güncellemeleri: Mevcut bilgi güvenliği ve IT kullanım politikalarına “üretken yapay zeka araçları” maddesinin eklenmesi
  • Kanallar: Çalışanların AI kullanım taleplerini iletebileceği, kurumsal onay alabilecekleri net bir süreç

Kurumsal AI Politikası: Neler İçermeli?

Gölge AI riskini yönetmek için oluşturulacak bir kurumsal politika en azından şu başlıkları kapsamalıdır:

  1. Tanımlar: Hangi araçlar “onaylı”, hangileri “kısıtlı”, hangileri “yasak” kategorisinde?
  2. Veri sınıflandırması: Hangi tür veriler hiçbir koşulda AI araçlarına aktarılamaz?
  3. Onay süreci: Yeni bir AI aracı kullanmak isteyen çalışan kime, nasıl başvurur?
  4. Eğitim yükümlülüğü: Hangi ekipler ne sıklıkla eğitim alacak?
  5. İhlal yaptırımları: Politikayı çiğnemenin sonuçları nedir?

Yasaklamak Değil, Yönetmek

Üretken yapay zekayı kurumdan tamamen yasaklamak ne gerçekçi ne de sürdürülebilir bir strateji. Çalışanlar bu araçların getirdiği verimliliği bir kez tattıktan sonra yasağa rağmen kullanmaya devam edebilir — bu sefer daha gizli bir şekilde.

Doğru yaklaşım, yapay zekayı kurum içinde yönetilebilir, denetlenebilir ve KVKK uyumlu bir çerçeveye oturtmaktır.

Bu çerçeve; teknik kontrolleri, yazılı politikaları, çalışan eğitimlerini ve veri işleme envanterine yansımış güncel kayıtları bir arada gerektiriyor.

Garanti KVK Danışmanlık olarak, kurumunuza özel bir Yapay Zeka Kullanım Politikası oluşturmanızdan, VERBİS kaydınızın güncellenmesine kadar tüm uyum süreçlerinde yanınızdayız.

KVKK uyum sürecinizi yapay zeka çağına taşımak için Garanti KVK Danışmanlık ile iletişime geçin.

*Bu içerik bilgilendirme amaçlıdır ve hukuki danışmanlık niteliği taşımamaktadır.

Previous Post

Related Posts

Açık Rıza ve Aydınlatma Metinlerinin Ayrılması: 2026/347 İlke Kararı Rehberi

Nisan 30, 2026

Sadakat Kart Programlarında KVKK Doğrulama Zorunluluğu

Mart 31, 2026

Kategoriler

GDPR